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(57) Abstract 

The invention relates to a method for authenticating a chip 
card (SIM) in a network for transmitting messages, preferably in 
a GSM network. According to said method, an optionally secret 
algorithm and a secret key are stored in a chip card (SIM). In order 
to authenticate the card, the network or a network component first 
transmits a random number to the chip card. A reply signal is then 
generated in said chip card using the algorithm, the random number 
and the secret key, and transmitted to the network or network 
component where the authenticity of the card is checked. The 
authentication message is formed by dividing the secret key and the 
random number transmitted by the network into at least two parts 
each. A part of the transmitted random number and one or more 
parts of the secret key are encoded with a single or multi-stage, 
preferably symmetrical computation algorithm. A selected part of 
the product of the encoding procedure is transmitted to the network 
in order to issue an authentication reply. 
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Die Erfindung betrifft ein Verfahren zur Authen- 
tisierung einer Chipkarte (SIM) in einem Netzwerk zur 
Nachrichtenubertragung, vorzugsweise in einem GSM-Netzwerk, 

bei dem in einer Chipkarte (SIM) ein gegebenenfalls gefteimer Algorithmus sowie ein geheimer Schlussel gespeichert ist, wobei zur 
Authentisierung zunachst vom Netzwerk oder einer Netzwerkkomponente eine Zufallszahl an die Chipkarten ubertragen wird, in der 
Chipkarte mittels des Algorithmus, der Zufallszahl und des geheimen Schlussels ein Antwortsignal erzeugt wird, das an das Netzwerk bzw. 
die Netzwerkkomponente ubermittelt wird, um dort die Authentizitat der Karte zu uberpriifen. GemaS der Erfindung wird zur Bildung der 
Authentisierungsnachricht sowohl der geheime Schlussel als auch die vom Netzwerk ubertragene Zufallszahl in jeweils wenigstens zwei 
Teile aufgeteilt, wobei ein Teil der ubertragenen Zufallszahl und ein oder mehrere Teile des geheimen Schlussels mittels eines ein- oder 
mehrstufigen, vorzugsweise symmetrischen Berechnungsalgorithmus verschlusselt werden. Zur Ausgabe einer Authentisierungsantwort 
wird ein auswahlbarer Teil des Verschlilsselungsergebnisses an das Netzwerk Obertragen. 
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Verfahren zur Authentisierung einer Chipkarte innerhalb eines 
Nachrichteniiber tra gungs-Netzwerks 



5 Die Erf indung betrifft ein Verfahren zur Authentisierung einer Chipkarte in 
einem Netzwerk zur Nachrichteniibertragung, vorzugsweise in einem GSM- 
Netzwerk, nach dem Oberbegriff des Anspruchs 1. 

Bei GSM-Systemen ist es bekannt, dafi sich zum Gebrauch der Chipkarte 
10 (Subscriber Identity Module, SIM) zunachst der Benutzer ublicherweise mit- 
tels einer personlichen Identifikationsnummer (PIN) als zur Benutzung be- 
rechtigt ausweisen muE. Urn an dieser Stelle Mifibrauch zu vermeiden, ist es 
fur die PIN-Eingabe bekannt, einen Fehlerzahler vorzusehen, der nach Uber- 
schreiten einer zulassigen Anzahl von Fehlversuchen den weiteren Gebrauch 
15 der Karte unterbindet. 

Eine weitere systemrelevante Sicherheitsmafinahme besteht in der Authen- 
tisierung der Karte gegenuber dem Mobilfunknetz. Dazu sind in der Karte 
ein von aufien nicht zuganglicher geheimer Schliissel sowie ein ebenfalls von 

20 aufien nicht zuganglicher Algorithmus abgelegt. Fiir eine Authentisierung 
wird vom Netzwerk bzw. einer Netzwerkkomponente eine Zufallszahl er- 
zeugt und der Karte mitgeteilt. Aus der Zufallszahl und dem geheimen 
Schliissel berechnet sodann die Karte mittels des in der Karte vorhandenen 
Algorithmus eine Antwort, welche sie dem Netzwerk mitteilt. Diese Ant- 

25 wort wird im Netzwerk analysiert und es wird, bei positivem Ergebnis, Zu- 
gang zu den Netzwerkfunktionen erlaubt. Die entsprechende Vorgehens- 
weise ist in den einschlagigen GSM-Spezif ikationen beschrieben. 

Fiir ein wie vorstehend gesichertes Netz besteht die Gefahr, dafi durch An- 
30 griffe auf den zur Authentisierung verwendeten Algorithmus das Netzwerk 
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beispielsweise in einem Computer simuliert werden kann, indem z. B. aus- 
gewahlte „Zufallszahlen" nach dem standardisierten Protokoll an die SIM- 
Karte iibermittelt werden und daraus, nach mehrfachen Authentisierungs- 
versuchen, der Geheimschliissel der Chipkarte ermittelt wird. 1st zusatzlich 
5 der Algorithmic der Karte bekannt, konnen nach Ermitdung des geheimen 
Schlxissels wesentliche Funktionselemente der Karte simuliert bzw. dupli- 
ziert werden. 

Es ist deshalb Aufgabe der Erfindung, ein sicheres Verfahren zur Authenti- 
10 sierung einer Chipkarte in einem Nachrichtensystem anzugeben, bei dem, 
wie beispielsweise im GSM-Netz ublich, eine Riickmeldung izber das Au- 
thentisierungsergebnis an die teilnehmende Chipkarte nicht erf olgt. 

Diese Aufgabe wird gemafi der Erfindung ausgehend von den Merkmalen 
15 des Oberbegriffs des Anspruchs 1 durch die kennzeichnenden Merkmale des 
Anspruchs 1 gelost. 

Vorteilhaf te Ausgestaltungen der Erfindung sind in den abhangigen An- 
spriichen angegeben. 

20 

Die Erfindung sieht vor, zur Bildung der Authentisierungsnachricht sowohl 
aus dem geheimen Schlussel als auch aus der vom Netzwerk tibertragenen 
Zuf allszahl jeweils wenigstens zwei Teile zu bilden, wobei einer der Teile 
der tibertragenen Zufallszahl und einer oder mehrere Teile des geheimen 
25 Schlussels mittels eines ein- oder mehrstufigen, vorzugsweise symmetri- 
schen Berechnungsalgorithmus verschlusselt werden. Zur Ausgabe einer 
Authentisierungsnachricht wird ein auswahlbarer Teil des nach dem Au- 
thentisierungsal gorithmu s berechneten Ergebnisses an das Netzwerk tiber- 
tragen. 



BNSDOCID: <WO 9957689A1 I > 



WO 99/57689 PCT/EP99/02848 

-3- 



Eine vorteilhafte Ausgestaltung der Erfindung sieht vor, dafi in der gleichen 
Art und Weise auch der Kanalkodierungsschlussel erzeugt wird, d.h. auch 
dort ist, beispielsweise bei einer Zweiteilung des Schliissels und der Zufalls- 
5 zahl vorgesehen, dafi entweder der erste oder der zweite Teil der iibertrage- 
nen Zufallszahl mit dem ersten und/ oder zweiten Teil des geheiinen Schliis- 
sels mit einem ein- oder mehrstufigen Algorithmus verknupf t werden, um 
einen Kanalkodierungsschlussel zu erhalten. Vorzugsweise werden fur die 
Bildung der Authentisierungsnachricht und des Kanalkodierungsschliissels 
10 jeweils verschiedene Teile der vom Netzwerk erhaltenen Zufallszahl ver- 
wendet. 

Eine weitere vorteilhafte Ausgestaltung der Erfindung sieht vor, dafi der in 
der Karte abgelegte geheime Schliissel sowie die Zufallszahl, welche vom 

15 Netzwerk an die Karte gesendet wird, in gleich lange Teile aufgeteilt wer- 
den. Damit kann in beiden Fallen der gleiche Berechnungsalgorithmus ver- 
wendet werden. Die Aufteilung der Zufallszahl bzw. des geheimen Schliis- 
sels kann in der Weise erfolgen, dafi eine einfache Teilung "in der Mitte" er- 
folgt oder sich iiberlappende Teilbereiche entstehen. Ebenso ist eine Teilung 

20 denkbar, in der die Summe der einzelnen Teile kleiner ist als die Bit-Lange 

der Zufallszahl bzw. des geheimen Schlussels. Gemafi einer weiteren Varian- 
te konnen nach einem vorbestimmten Muster oder pseudozuf allig jeweils 
eine vorgegebene Anzahl von Bits der Zufallszahl bzw. des geheimen 
Schlussels zu jeweils einem Schliissel- bzw. Zuf allszahlenteil zusammenge- 

25 f afit werden. 

Als weitere vorteilhafte Ausgestaltung der Erfindung konnen als Berech- 
nungsalgorithmen zur Authentisierung sowie zur Kanalkodierung DES- 
Algorithmen verwendet werden. 
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Eine andere vorteilhaf te Variante der Erfindung sieht vor, dafi zur Berech- 
nung der Authentifizierungspararneter und der Kanalkodierungsschliissel 
der vorzugsweise einstufige IDEA-Algorithmus verwendet wird. 

5 

Alternativ konnen zur Berechnung der Authentifizierungspararneter und 
der Kanalkodierungsschliissel Komprimierungsalgorithmen, vorzugsweise 
kryptograf ische Komprimierungsalgorithmen verwendet werden, deren 
Ausgabewerte eine geringere Lange als die Eingabeparameter axifweisen. 

10 

Zur Erhohung der Sicherheit ist es vorteilhaft, einen mindestens zweistufi- 
gen Berechnungsalgorithmus zu verwenden, wobei sich ein Triple-DES- 
Algorithmus als besonders sicher erweist. Bei diesem Algorithmus wird zu- 
nachst rnit einem ersten Teil des Schlussels und einem Teil der Zufallszahl 

15 verschlusselt, anschliefiend wird eine Entschliisselung des Ergebnisses mit 
dem zweiten Teil des Schlussels vorgenommen, um schliefilich wieder mit 
dem ersten Teil des Schlussels eine weitere Berechnung auszufiihren. Bei der 
letzten Verschlusselung mit dem ersten Teil des Schlussels kann in vorteil- 
hafter Weise, insbesondere bei einer Schlusselaufteilung in drei Schliisseltei- 

20 le, ein neuer, dritter Schliissel verwendet werden. 

Eine weitere vorteilhafte Ausgestaltung der Erfindung ergibt sich, wenn die 
Auswahl des ersten oder zweiten Teils der Zufallszahl fur die Authentisie- 
rung bzw. die Berechnung der Kanalkodierung im Wechsel erfolgt, wobei 
25 dieser Wechsel zufallig bzw. pseudozufallig ausgefuhrt wird und die Aus- 
wahl in der Karte und im Netzwerk auf die gleiche Weise erfolgt. 

Im folgenden wird die Erfindung an Hand der Figuren 1 bis 3 naher be- 
schrieben. 
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Fig. 1 zeigt den Ablauf der kryptographischen Funktionen des SIM im GSM- 
Netz. 

5 Fig. 2 zeigt ein Blockschaltbild der Triple DES-Verschliisselung. 

Fig. 3 zeigt Beispiele fur die Aufteilung des geheimen Schliissels bzw. der 
Zufallszahl 

10 Bei dem in Fig. 1 dargestellten Ablauf wird vorausgesetzt, daJS der iibliche, 
vorhergehende Vorgang der PIN-Verifizierung abgeschlossen ist. Irn An- 
schluB daran wird von der mobilen Einheit, in der sich die Karte SIM befin- 
det, eine Nachricht an das Netzwerk gesendet, welche eine IMSI- 
(international mobile subscriber identity) Information bzw. eine TMSI- 

15 (temporary mobile subscriber identity) Information enthalt. Aus der IMSI 
bzw. TMSI wird im Netzwerk nach einer vorgegebenen Funktion oder mit- 
tels einer Tabelle ein geheimer Schliissel Ki bestimmt. Derselbe Schliissel ist 
auch in der Chipkarte SIM in einem nicht zuganglichen Speicherbereich ab- 
gelegt. Der geheime Schliissel wird fiir die spatere Verifizierung des Au- 

20 thentisierungsvorganges benotigt. 

Das Netzwerk initiiert sodann den Authentisierungsvorgang, indem es eine 
Zufallszahl RAND berechnet und diese liber die Lxiftschnittstelle an die 
Chipkarte SIM iibertragt. 

25 

In der Chipkarte wird daraufhin mittels eines Authentisierungsalgorithmus 
aus dem geheimen Schliissel Ki und der Zufallszahl RAND ein Authentisie- 
rungsparameter SRES gebildet, der iiber die Luftschnittstelle wiederum an 
das Netzwerk iibertragen wird. Erfindungsgemafi werden hierbei aus der 
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Zufallszahl RAND mindestens zwei Zufallszahlen RANDi und RAND 2 ab- 
- geleitet. Die Zufallszahlen RANDi und RAND 2 konnen durch Teilung oder 
eine Auswahl aus der Zufallszahl RAND bzw. durch einen Berechnungsal- 
gorithmus gewonnen werden. 

5 

Die Authentisierung erf olgt im Ausfiihrungsbeispiel nach Fig. 1 mit einem 
zweistuf igen Algorithmus. Dabei wird, wie in Fig. 1 angedeutet, zunachst 
der erste Teil der Zufallszahl RANDi mit einem ersten Teil Ki des ebenfalls in 
zwei Teile auf geteilten Schliissels Ki verschliisselt. Das Ergebnis dieser ersten 
10 Stufe wird anschliefiend in einer zweiten Stufe mit dem zweiten Teil des 

Schliissels K2 verschliisselt. Selbstverstandlich kann zur Berechnung mit dem 
Authentisierungsalgorithmus zunachst auch der zweite Teil der Zufallszahl 
RAND2 verwendet und die Reihenfolge der Verwendung der ersten und 
zweiten Schliisselteile Ki und K2 verandert werden. 

15 

Im Netzwerk wird wahrenddessen auf dieselbe Weise wie in der Karte mit- 
tels des Authentisierungsalgorithmus und der Zufallszahl RAND (RANDi, 
RAND2) sowie dem geheimen Schlussel Ki (Ki, K 2 ) ebenfalls ein Authentisie- 
rungsparameter SRES' gebildet. Der Parameter SRES' wird im Netzwerk so- 

20 dann mit dem von der Karte erhaltenen Authentisierungsparameter SRES 
verglichen. Stimmen beide Authentisierungsparameter SRES' und SRES 
iiberein, wird der Authentisierungsvorgang erf olgreich abgeschlossen. 
Stimmen die Authentisierungsparameter nicht iiberein, gilt die Karte des 
Teilnehmers als nicht authentisiert. Es sei an dieser Stelle angemerkt, dafi zur 

25 Bildung von SRES bzw. SRES' auch nur Teile aus dem durch die Verschliis- 
selung erhaltenen Ergebnisses verwendet werden konnen. 

In der gleichen Weise wie die Erzeugung der Authentisierungsparameter 
erf olgt in der Karte und im Netzwerk die Generierung eines Schliissels Kc 
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fiir Kanalkodierung fiir die Daten- und Sprachiibertragung. Vorzugsweise 
wird dabei als Eingangsparameter der bei der Authentisierung nicht ver- 
wendete Teil der Zufallszahl RAND verwendet. 

5 Figur 2 zeigt ein vorteilhaftes Ausfuhrungsbeispiel, demgemaG die Berech- 
nung mit dem Authentisierungsalgorithmus und/ oder die Kanalcodierung 
durch einen Triple-DES-Algorithmus ausgefiihrt wird. Nach diesem Algo- 
rithmus wird zunachst ein Teil RANDi oder RAND2 der Zufallszahl mit ei- 
nem ersten Schliisselteil Ki verschliisselt. Im nachsten Schritt erfolgt eine 
10 Entschliisselung mit K2. Das Ergebnis wird danach wieder mit Ki oder bei 
einer Aufteilung in mehrere Zufallszahlen-/Schliisselteile mit einem dritten 
Teil des Schliissels verschliisselt. Die Bildung der Kanalcodierung erfolgt auf 
die gleiche Weise. Im Netzwerk werden jeweils die entsprechenden Algo- 
rithmen verwendet. 

15 

Ohne Beschrankung der Allgemeinheit wurde bei der Beschreibung der Aus- 
fiihrungsbeispiele gemafi den Fig. 1 und 2 von einem zwei- bzw. dreistufi- 
gen, symmetrischen Verschliisselungsalgorithmus ausgegangen. Selbstver- 
standlich kann der Erf indungsgedanke, welcher in der Aufteilung der Zu- 

20 fallszahl sowie des geheimen Schliissels besteht, auch mit anderen, gangigen 
Verschliisselungs- bzw. Berechnungsalgorithmen durchgefiihrt werden. Bei- 
spielhaft sei hier neben den DES-Algorithmen (A3; A8) IDEA genannt. Die 
genannten Algorithmen konnen auch einstufig ausgefiihrt sein, wobei vor- 
zugsweise unterschiedliche Teile des Schliissels und/ oder der Zufallszahl 

25 fiir die Authentisierung und die Erzeugung des Kanalkodierungsschliissels 
Kc erzeugt werden. 

In den Figuren 3a - e sind Beispiele fiir mogliche Aufteilxmgen des geheimen 
Schliissels Ki bzw. der Zufallszahl RAND angegeben. 
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Die Figur 3a zeigt einen Schlussel Ki bzw. eine Zufallszahl RAND mit einer 
Lange von 128 bit. 

5 In der Figur 3b ist eine Aufteilung in zwei gleiche Teile Ki und K2 (RANDi, 
R AND2) dargestellt, wobei die Aufteilung mittig erf olgt. Teil 1 enthalt bit 1 
bis bit 64, Teil 2 enthalt bit 65 bis bit 128. In Figur 3c ist eine iiberlappende 
Aufteilung angegeben und in der Figur 3d ist eine Aufteilung dargestellt, bei 
der jeweils die ungeradzahligen bits dem Teil 1 und die geradzahligen bits 
10 dem Teil 2 zugeordnet sind. Figur 3e zeigt schliefilich eine Aufteilung, bei 

der die Summe der Binarstellen der Teile 1 und 2 kleiner ist als die Binarstel- 
len des Ausgangsschlussels bzw. der Ausgangszufallszahl. 
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Verfahren zur Authentisierung einer Chipkarte (SIM) in einem Netz- 
werk zur Nachrichteniibertragung, vorzugsweise in einem GSM- 
Netzwerk, bei dem in einer Chipkarte (SIM) ein Algorithmus sowie 
ein geheimer Schliissel gespeichert sind, wobei zur Authentisierung 

- zunachst vom Netzwerk oder einer Netzwerkkomponente eine Zu- 
f allszahl (RAND) an die Chipkarte iibertragen wird, 

- in der Chipkarte daraus mittels des Algorithmus und des geheimen 
Schliissels (Ki)ein Antwortsignal (SRES) erzeugt und an das Netzwerk 
bzw. die Netzwerkkomponente iibermittelt wird, 

dadurch gekennzeichnet, dafi 

- zur Bildung eines Authentisierungsparameters der geheime Schliis- 
sel (Ki) sowie die Zufallszahl (RAND) in jeweils wenigstens zwei Teile 
(Ki, K 2; RANDi, RAND 2 ) auf geteilt werden, 

- einer der Teile (RANDi, RAND2) der iibertragenen Zufallszahl 
(RAND) mit Hilfe eines oder mehrerer Teile (Ki, K2) des geheimen 
Schliissels (Ki) mittels eines ein- oder mehrstufigen, vorzugsweise 
symmetrischen Algorithmus verschliisselt werden, und 

- eine vorgegebene Anzahl von Bits aus dem Verschlxisselungsergeb- 
nis ausgewahlt und als Signalantwort (SRES) an das Netzwerk iiber- 
tragen wird. 

Verfahren nach Anspruch 1, dadurch gekennzeichnet, dafi der ge- 
heime Schliissel (Ki) und/ oder die Zufallszahl (RAND) in zwei Teile 
aufgeteilt werden. 

Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dafi ein 
Teil der iibertragenen Zufallszahl (RAND) sowie ein und/ oder weite- 
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re Teile des geheimen Schliissels (Ki) zur Berechnung eines Kanalko- 
dierungsschliissels (Kc) mittels eines ein- oder mehrstufigen Algo- 
rithmus verwendet werden, wobei zumindest ein Teil des Berech- 
nungsergebnisses als Kanalkodierungsschlussel (Kc) verwendet wird. 

Verfahren nach einem der Anspriiche 1 bis 3, dadurch gekennzeich- 
net, dafi der Schliissel (Ki) sowie die Zufallszahl (RAND) in zwei 
gleich lange Teile (Ki, K2/RAND1, RAND2) aufgeteilt werden. 

Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeich- 
net, dafi zur Berechnung der Authentifizierungsparameter (SRES, 
SRES') und/oder des Kanalkodierungsschliissels (Kc) DES- 
Algorithmen verwendet werden. 

Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeich- 
net, dafi zur Berechnung der Authentisierungsparameter (SRES, 
SRES') und/oder des Kanalkodierungsschliissels (Kc) der, vorzugs- 
weise einstufige, IDEA-Algorithmus verwendet wird. 

Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekennzeich- 
net, dafi zur Berechnung der Authentisierungsparameter (SRES, 
SRES') und/oder des Kanalkodierungsschliissels (Kc) ein Komprimie- 
rungsalgorithmus verwendet wird, dessen Ausgabewert eine geringe- 
re Lange als der Eingabeparameter aufweist. 

Verfahren nach einem der Anspriiche 1 bis 7, dadurch gekennzeich- 
net, dafi die Berechnung in einem mindestens zweistufigen Algorith- 
mus erfolgt 
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9. Verf ahren nach einem der Anspriiche 1 bis 8, dadurch gekennzeich- 
net, dafi als Verschliisselungsalgorithmus ein Triple-DES-Algorithmus 
verwendet wird, bei dem zunachst mit dem ersten Teil (Ki) des 
Schliissels (Ki) verschliisselt, anschliefiend mit dem zweiten Teil (K2) 

5 des Schliissels (Ki) entschliisselt und darauf wieder mit dem ersten 

Teil (Ki) oder einem dritten Teil des Schliissels (Ki) verschliisselt wird. 

10. Verfahren nach einem der Anspriiche 1 bis 9, dadurch gekennzeich- 
net, dafi eine Auswahl des ersten oder zweiten Teils der Zufallszahl 

10 (RAND) im zufalligen oder pseudozufalligen Wechsel in der Karte 

und im Netzwerk in gleicher Weise erfolgt. 
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